miércoles, 30 de agosto de 2017

Resumen de la Ley HIPAA (2017)


  • HIPAA es el acrónimo para el 'Health Insurance Portability & Accountability Act' de 1996.
    • La misma establece (en los Estados Unidos) un modelo de protección de la confidencialidad del paciente, la seguridad de los sistemas electrónicos, y las normas y requisitos para la transmición electrónica de información de salud.
  • Se puede dividir en 2: la Regla de Privacidad y la Regla de Seguridad.
Regla de Privacidad
  • La privacidad se refiere a proteger los datos de salud de un individuo.
  • Define como es usada y divulgada la información de pacientes.
  • Da al paciente derechos de privacidad y control sobre su información de salud.
  • Protege la información protegida del paciente (PHI, siglas de Protected Health Information), limitando la manera en la cual se puede utilizar y divulgar.
    • Se puede dar en formatos escritos, orales y electrónicos.
    • Puede ser recibida por un proveedor de atención médica (como un doctor), plan de salud, empleador o centro de atención médica (entre otros).
    • Incluye toda aquella información que se refiere a...
      • la salud f'ísica o mental o la condición de un individuo en cualquier momento de su vida.
      • la prestación de servicios de salud a un individuo.
      • pagos por prestación de servicios médicos en cualquier momento (pasados, presentes y futuros).
    • Incluye información con la cual se pueda determinar la identidad de un paciente con exactitud (directamente o por referencia a otra persona), como:
      • nombre, fecha de nacimiento, teléfono, dirección, fecha de admisión, correo electrónico, número de licencia, Ciudad, fecha de alta, seguro social, diagnósticos (Dx), recetas (Rx), fecha de muerte, núm. de expediente médico, fotos, zip code, e identificadores biométricos (como huellas digitales)
  • Requiere que se use el mínimo necesario de la PHI del paciente, o sea, lo menos posible.
    • Se debe divulgar, o proveer, lo menos posible para lograr el fin del uso o la solicitud.
    • Se debe limitar el acceso a PHI en acuerdo a "cuánto necesita saber".
  • La PHI de un paciente puede ser usada o divulgada bajo ciertas circunstancias.
    • Se usa la PHI cuando se revisa internamente (para auditorías, capacitación, servicio al cliente, etc.).
    • Se divulga la PHI cuando se proporciona a alguien (a un abogado, al paciente, o a otro proveedor).
    • La PHI puede ser usada y divulgada sin autorización para tratamientos, pagos y operaciones de servicios de salud (TPO).
      • La 'T' consiste de tratamientos o servicios de salud.
      • La 'P' consiste de la provisión de beneficios y pago de prima.
      • La 'O' consiste de actividades comerciales como capacitación, auditoría, reclamaciones, etc.
    • También puede ser divulgada la PHI sin autorización para:
      • agencias estatales de salud a quienes los proveedores están obligados a comunicar enfermedades (Departamento de Salud)
      • órdenes judiciales (tribunal)
      • la policía
      • informe a agencias estatales (por ejemplo, cuando se sospecha abuso infantil o maltrato)
      • un funeral o la identificación de un cuerpo
      • las Fuerzas Armadas
    • No se requiere autorización tampoco para:
      • divulgaciones al individuo
      • uso y divulgación para tratamiento por su médico
      • uso y divulgación para las actividades que aseguran la caludad
    • De no haber ninguna de las circunstancias (TPO/agencias), se debe tener una autorización firmada del paciente para compartir la información.  Se requiere autorización, por ejemplo, para:
      • Uso o divulgación de notas de psicoterapia
      • Uso o divulgación con fines de mercadeo
      • Vender PHI
    • Hay ciertas reglas para compartir la PHI de un menor.
      • Si los padres están divorciados, cualquiera de los dos tiene acceso a menos que se indique lo contrario.
      • Se deben solicitar documentos del tribunal si los derechos de los padres son cuestionados.
        • Las leyes varían por estados, por ejemplo, en Wisconsin solo el padre con la custodia legal puede accesar el expediente del niño.
      • Un tutor legal, con los documentos que lo certifiquen, puede accesar la PHI de un menor.
        • Se deben incluir copia de los documentos de tutor legal en el expediente, sin la documentación no tienen acceso a PHI.
      • Para un padrastro/madrastra accesar la PHI del menor, debe ser su tutor legal.
        • Puede programar citas sin ser el tutor legal.
      • Los padres de crianza (temporales o adoptivos) deben tener una copia de su identificación, licencia del estado y algún documento que lo identifique como padre de crianza (Formulario de Auorización, ID de padre de crianza).
        • Se puede llamar al padre biológico para verificar esta información.
    • También hay otras restricciones para compartir PHI.
      • En casos de poder legal (POA, siglas de power of attorney), depende, ya que el paciente debe ser declarado incapacitado por el médico.
      • Se puede divulgar la información del seguro de un paciente a otra facilidad, como un nursing home.
      • Llamadas telefónicas sirven para cordinar citas, por ejemplo, pero no para compartir información detallada como resultados de laboratorio.
      • Se puede compartir PHI por fax cuando esté en el mejor interés del paciente o para el pago de reclamaciones, no se recomienda enviar por este medio información sobre la salud mental, VIH, etc.
        • Es recomendable probar el número de fax antes de transmitir información.
        • Se debe incluir un cover sheet (portada) sin PHI.
      • Se puede compartir PHI por e-mails pero deben ser encriptados; la responsabilidad de confidencialidad de la organización con la que se comparte debe ser verificada.
        • No se debe incluir ningún tipo de información en el subject de un correo electrónico.
      • No se puede discutir PHI en áreas públicar o comunes.
Regla de Seguridad
  • Requiere que se...
    • implemente protección administrativa, física y técnica, que protejan la confidencialidad, integridad y disponibilidad de la información electrónica protegida de salud (ePHI).
    • proteja contra cualquier amenaza o riesgo anticipado a la seguridad o integridad de la ePHI.
    • proteja contra cualquier uso anticipado que no estté permitido bajo la Regla de Privacidad de ePHI.
    • asegure el cumplimiento de seguridad por parte de su fuerza de trabajo.
  • La seguridad técnica es aplicada a los equipos electrónicos, ejemplos son:
    • asignación de diferentes niveles de acceso
    • screen savers (protectores de pantalla)
    • dispositivos para escanear IDs
  • La seguridad administrativa es la que deben ser seguida por los emplados, ejemplos son:
    • uso del Internet apropiado
      • accesar portales confiales y aprobados
      • no descargar programas
    • uso del correo electrónico apropiado
      • contenido profesional
      • usar el e-mail del trabajo solamente
      • no abrir e-mails sospechosos o de desconocidos
      • no eviar bromas
      • verificar la dirección antes de enviar
  • La seguridad física es la que indica que se deben tener barreras físicas en el espacio y en los dispositivos, ejemplos son:
    • puertas aseguradas (cerradas)
    • asegurar (lock) las computadoras desatendidas
  • Cada persona debe tener una identidad de usuario única (ID + contraseña) que se usa para supervisar su actividad en los sistemas.
    • La gestión de contraseña indica que la contraseña debe ser segura y cambiada frecuentemente.
  • Como parte de la confidencialidad, no se deben discutir información de pacientes con personas que no lo necesitan (como familia y amigos) y se debe asegurar que la divulgación llegue a quien se dirige.
  • Como parte de la disponibilidad, se debe asegurar que quienes requieren la información tengan acceso a ella y de limitar el acceso a quienes no la necesitan.
  • Al entregar PHI tenemos que tener mucho cuidad con cómo manejamos los documentos.
    • Los papeles de PHI deben estar siempre cubiertos.
  • La disposición de PHI debe ser en recipientes asignados.
  • Se deben reportar sospechas de violaciones (accidentales o intencionales) de HIPAA a un supervisor o al responsable de la privacidad.
  • Si se toman medidas adecuadas pero ocurre una divulgación accidental, no es responsable el que tomó las medidas.
    • Violaciones incidentales son inevitables.
    • Se deben reportar al Oficial de Privacidad y corregir el error.
  • Las violaciones intencionales ocurren si se ignoran las reglas y deliberadamente se utiliza o divulga PHI.  Esto incluye acceso para responsabilidades no designadas y memorización de información para un uso no indicado.  Las consecuencias pueden ser:
    • acciones disciplinarias (terminación de empleo)
    • cargos civiles o criminales
  • Es importante entrenarse en la ley HIPAA para saber cómo manejar PHI.
    • La ley requiere que el personal que trabaja con PHI sea entrenado.
  • Los pacientes depositan su información confidencial y es una obligación protegerla, no una opción.

No hay comentarios.:

Publicar un comentario